1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
#use wml::debian::translation-check translation="953c5b433a7726472cff70c853f9f44ac2a7608c" maintainer="Lev Lamberov"
<define-tag description>uucp-доступ с флагами uid/gid</define-tag>
<define-tag moreinfo>
<p>Зенит Парсек обнаружил уязвимость в Taylor UUCP 1.06.1. Она
позволяет локальному пользователю копировать любой файл в любое место, открытое для записи
для пользовательского идентификатора uucp, что позначает, что локальный пользователь может
полностью подорвать подсистему UUCP, включая кражу почты и т. д.</p>
<p>Если удалённый пользователь, имеющий UUCP-доступ к системе, может создать файлы в
локальной системе, и может успешно угадать локальную структуру
каталогов, то удалённый пользователь также может подорвать систему
UUCP. По умолчанию UUCP позволяет удалённым пользователям
создавать файлы в локальной системе в том случае, если открытый каталог UUCP
создан с правами для записи для всех пользователей.</p>
<p>Очевидно, эта уязвимость очень серьёзна для всех, кто использует UUCP
в многопользовательских системах с недоверенными пользователями, или всех тех, кто использует
UUCP и разрешает подключения с недоверенных удалённых систем.</p>
<p>Считалось, что эта проблема была исправлена в рекомендации DSA 079-1, но
исправление не касается всех возможных разновидностей этой проблемы. Проблема была исправлена
в версии 1.06.1-11potato2 пакета uucp, в которой используется заплата от
автора основной ветки разработки Иэна Лэнса Тэйлора.</p>
<p>Рекомендуется как можно скорее обновить ппакет uucp.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-079.data"
|
